セールスロフトは、3月に同社のGitHubアカウントが侵害され、ハッカーが認証トークンを盗んだと発表しました。これらのトークンは、その後、大手テクノロジー企業を標的とした大規模なハッキングに利用されたということです。
グーグルのインシデント対応ユニット「マンディアント」による調査を引用し、セールスロフトはデータ侵害ページで、名前がまだ明かされていないハッカーが3月から6月にかけて同社のGitHubアカウントにアクセスし、複数のリポジトリからコンテンツをダウンロードし、ゲストユーザーを追加し、ワークフローを確立したとしています。
このタイムラインは、同社のセキュリティ体制について新たな疑問を提起しており、侵入を検知するのに約6か月かかった理由についても問われています。
セールスロフトは、この事件が現在「封じ込められている」と述べています。
ハッカーがGitHubアカウントに侵入した後、セールスロフトのAIとチャットボットを利用したマーケティングプラットフォーム「ドリフト」のAmazon Web Servicesクラウド環境にアクセスし、ドリフトの顧客用OAuthトークンを盗みました。OAuthは、ユーザーが一つのアプリやサービスを別のものと連携させるための標準技術です。ドリフトは、Salesforceなどのプラットフォームと統合し、ウェブサイトの訪問者とやり取りすることができます。
これらのトークンを盗むことで、ハッカーはセールスロフトの顧客であるバグクラウド、クラウドフレア、グーグル、プルーフポイント、パロアルトネットワークス、テナブルなど、多くの企業に侵入しました。これらの企業の多くは、まだ詳細が明らかになっていない可能性があります。
グーグルの脅威インテリジェンスグループは、8月下旬にこのサプライチェーン侵害を明らかにし、UNC6395というハッカーグループに帰属させています。
サイバーセキュリティの出版物DataBreaches.netとBleeping Computerは、この侵害の背後にいるハッカーが「ShinyHunters」として知られる多作なハッカーグループであると報じています。ハッカーは被害者に直接連絡し、恐喝を試みていると考えられています。
セールスロフトトークンにアクセスすることで、ハッカーはSalesforceのインスタンスにアクセスし、サポートチケットに含まれる機密データを盗みました。セールスロフトは、ハッカーの主な目的はAWSアクセスキー、パスワード、Snowflake関連のアクセストークンなどの機密情報を盗むことだったと8月26日に述べています。
セールスロフトは、日曜日にSalesforceとの統合が復旧したと発表しました。